Czy numer buta to dane osobowe? A numer telefonu? A jeśli każdą z tych cyfr zestawimy z informacją identyfikującą konkretnego człowieka? A może wystarczy, że można do kogoś tam zadzwonić i spytać go o imię i nazwisko? I, wcale nie na marginesie: czy te całe dane osobowe to taka prawnicza teoria bezmyślności wszystkiego, bo w zależności od kąta patrzenia raz jakaś informacja będzie się kwalifikowała pod RODO, a innym razem nie? (wyrok Naczelnego Sądu Administracyjnego z 15 kwietnia 2026 r., III OSK 1601/24).
opis stanu faktycznego:
- zaczęło się od niezapowiadanego i niezamawianego połączenia telefonicznego — zaproszenia na pokaz towarów…
- …i wniesionej do PUODO skargi na bezprawne przetwarzanie danych osobowych przez telemarketera;
- w toku postępowania firma wyjaśniła, że nie przetwarzała i nie przetwarza jakichkolwiek danych osobowych skarżącego: numer telefonu pozyskała od zewnętrznego podmiotu, jednak jedynym kryterium przyporządkowania numeru jest kryterium geograficzne;
- zaś w wydanej decyzji urząd stwierdził, że niepowtarzalna kombinacja cyfr jaką jest numer telefonu to „punkt kontaktowy” z konkretną osobą, dzięki której możliwe jest jej odróżnienie od innych osób;
- skoro więc numer telefonu jest informacją umożliwiającą kontakt, to jest oczywiste, że rozmowa stanowiła działanie nakierowane na identyfikację konkretnego rozmówcy — a więc jest to przetwarzanie;
- biorąc natomiast pod uwagę, że firma nie wykazała jakiejkolwiek przesłanki pozwalającej na przetwarzanie danych osobowych — podstawą nie może być interes administratora, już choćby przez to, że między firmą a abonentem nie było żadnych powiązań (umownych, faktycznych), a więc nie spodziewał się nagabywania — zarazem w przypadku pozyskania danych osobowych „z zewnątrz” należało wykonać obowiązki z art. 14 RODO — zaistniałe uchybienia zasługują na sankcję w postaci upomnienia;
motyw 26 RODO
Zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
art. 4 pkt 1 RODO
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
skarga na decyzję:
- w skardze na decyzję telemarketer zarzucił błędną interpretację, iż „goły” numer telefonu może być traktowany jako dane osobowe, bo przecież sama kombinacja cyfr nie pozwala mu na ustalenie tożsamości użytkownika, zatem nie można mówić o przetwarzaniu, o statusie spółki jako administratora, o naruszeniu RODO;
- a skoro wykonanie połączenia marketingowego nie wymaga wiedzy o tożsamości rozmówcy, to nie było potrzeby jego identyfikacji tylko w celu spełnienia wymogów RODO;
wyrok WSA:
- taką argumentację zaaprobował sąd administracyjny: numer telefonu, nieprzyporządkowany do konkretnej osoby, nie stanowi danych osobowych;
- chociaż bowiem definicja danych osobowych obejmuje także informacje o osobie, której identyfikacja jest możliwa, to przecież nie można pomijać faktu, że spółka nie dysponowała bazą danych pozwalającą na przyporządkowanie numeru telefonu do konkretnej jednostki;
- nie jest przy tym wystarczające, że dysponując numerem telefonu można podjąć działania zmierzające do pozyskania danych osobowych (zatelefonować, zapytać, zapisać) — pomijając, że przecież rozmówcą może być zupełnie ktoś inny, niż abonent numeru telefonicznego;
- skoro więc nie istnieje narzędzie pozwalające prosto, szybko i ekonomicznie (w sposób zautomatyzowany) zestawić numer telefonu z konkretną osobą — zadzwonienie pod dość przypadkowy numer nie oznacza przetwarzania danych osobowych — a więc skarga uwzględniona, a decyzja uchylona (wyrok WSA w Warszawie z 13 lutego 2024 r., II SA/Wa 1122/23);
wyrok NSA:
- oddalając wniesioną przez PUODO skargę kasacyjną NSA przypomniał, iż niejednokrotnie już orzekał, iż sam w sobie numer telefonu nie może być traktowany jako dane osobowe (np. wyrok NSA z 14 stycznia 2025 r., III OSK 6041/21, wyrok NSA z 15 października 2025 r., III OSK 2357/22; wyrok NSA z 8 stycznia 2026 r., III OSK 274/23);
- sęk w tym, że dane osobowe to albo wszelkie informacje o osobie już zidentyfikowanej, poszerzająca zakres wiedzy zgromadzonej przez administratora (tłumacząc z prawniczego na ludzkie: „numer buta 42” to nie dane osobowe, ale ta sama informacja przyporządkowana do Jana Nowaka i owszem) — albo jakakolwiek informacja, której identyfikacja jest możliwa;
- sam w sobie numer telefonu na identyfikację rozmówcy nie pozwala, a dopóki administrator nie dysponuje możliwością przypisania go do konkretnego człowieka, dopóty taki ciąg cyfr nie może być traktowany jako dane osobowe;
- (i tu dłuższy wywód, w którym pojawiają się takie sformułowania jak „informacja zasadnicza” i „informacje dodatkowe”, a także konkluzja, iż dopiero ich korelacja — „rozsądnie prawdopodobne sposoby”, co do których istnieje „uzasadnione prawdopodobieństwo” wykorzystania — pozwala na odcyfrowanie tożsamości jegomościa);
- mało tego: źródłem informacji pozwalających „namierzyć” tożsamość osoby musi być sam administrator lub osoba trzecia — ergo argument, że facet mógł się wygadać nie pozwala uznać tezy PUODO;
- chodzi o to, iż trafna jest koncepcja relatywizacji danych osobowych: ta sama informacja może być raz kwalifikowana jako dana osobowa, a innym razem wcale nie — a wszystko zależy od tego jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza (por. wyrok TSUE z 19 października 2016 r., C-582/14 oraz „Czy numer rejestracyjny pojazdu pozwala na ustalenie tożsamości osoby fizycznej?” jak też „Czy adres IP urządzenia umożliwia identyfikację konkretnej osoby fizycznej?”);
- a jeśli PUODO zamierza się w skardze kasacyjnej powoływać na Wytyczne Grupy Roboczej art. 29 lub opinie EROD, to po pierwsze trzeba pamietać, iż dokumenty wydawane przez te gremia to tylko postulaty, które nie wiążą państw i sądów, a po drugie nawet tam pojawił się pogląd, że „czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za możliwą do zidentyfikowania” — a źródłem tej wiedzy nie może być samoidentyfikacja;
- nie ma też znaczenia, czy rozmowa miała charakter niezamawianego komunikatu sprzedażowego — bo i nie tego dotyczyła decyzja PUODO.
Q.E.D.